Qualys, Inc., proveedor pionero y líder en soluciones de TI, seguridad y cumplimiento basadas en la nube, ha desvelado el descubrimiento de nueve vulnerabilidades críticas en AppArmor, módulo de seguridad del kernel de Linux utilizado a nivel global para aplicar políticas de control de acceso. Las fallas, descubiertas por la Unidad de Investigación de Amenazas de Qualys (TRU) y agrupadas bajo el nombre “CrackArmor”, existen desde 2017 (versión 4.11) y podrían afectar a más de 12,6 millones de sistemas Linux empresariales en todo el mundo.

AppArmor es el mecanismo de control de acceso predeterminado en algunas de las distribuciones de Linux más populares, como Ubuntu, Debian o SUSE, y está ampliamente implantado en entornos empresariales, plataformas cloud, contenedores, dispositivos IoT y sistemas edge. Debido a esta adopción generalizada, las vulnerabilidades detectadas amplían significativamente la superficie de ataque en infraestructuras críticas.

Según los analistas, CrackArmor agrupa varias vulnerabilidades en la implementación de AppArmor, incluyendo fallos de tipo confused deputy, errores de gestión de memoria del kernel como use-after-free y double-free, así como lecturas fuera de límites que permiten divulgar memoria del sistema. De esta forma, un atacante podría eludir restricciones en los espacios de nombres de usuario (user namespaces), ejecutar código dentro del kernel y escalar privilegios a nivel root. Estas vulnerabilidades pueden facilitar distintos vectores de ataque, entre ellos la escalada de privilegios locales (LPE), ataques de denegación de servicio (DoS) mediante agotamiento de la pila del kernel o la manipulación de políticas de seguridad para desactivar protecciones críticas o bloquear servicios legítimos.

“CrackArmor demuestra que incluso las protecciones más sólidas pueden eludirse sin credenciales de administrador”, afirma Sergio Pedroche, Country Manager de Qualys Iberia. “Para los CISO, esto significa que la aplicación de parches por sí sola no es suficiente; es necesario reevaluar por completo estas suposiciones en función del impacto real de las configuraciones predeterminadas en las infraestructuras».

Recomendaciones
Los investigadores de Qualys han determinado que el único método fiable para mitigar las vulnerabilidades de CrackArmor es la aplicación inmediata de parches al kernel. Se insta a las organizaciones a aplicar las actualizaciones de seguridad necesarias para proteger sus sistemas de posibles ataques.

La compañía aconseja a los equipos de TI y operaciones de seguridad:
· Aplicar de inmediato los parches del kernel proporcionados por los proveedores de Linux.
· Escanear los sistemas expuestos para identificar kernels vulnerables.
· Monitorizar cambios inesperados en /sys/kernel/security/apparmor/, que podrían indicar intentos de explotación.

En el momento de la publicación de esta alerta las vulnerabilidades todavía no cuentan con identificadores CVE. Los analistas de Qualys TRU subrayan que la ausencia de un CVE no reduce la gravedad del problema y recomienda tratar esta alerta con la máxima prioridad.